Обеспечить доступ root, но не доступ к БД

Question

Попытка предоставить серверу доступ к более доступным операциям в нашей команде. Только проблема связана с доступом к БД. Для большинства задач операционные системы не нуждаются в доступе к БД, и только ограниченные люди должны иметь такой доступ.

Допустим, у нас есть два сервера:

Application Server: кота (приложение требуется доступ к серверу БД)

сервер БД: Database

Так в конечном счете, мы хотели бы для обеспечения доступа root к «серверу приложений», чтобы операционные системы могли выполнять все виды обслуживания на сервере, но не могли получить доступ к серверу БД. Это означает, что я не могу просто сохранить DB-проход в файлах конфигурации для приложения, чтобы читать, например.

Есть ли известные методы, которые могли бы решить проблему?

Answer 1

Прежде всего, любые учетные данные, которые «Сервер приложений» имеет доступ к «серверу БД», должны считаться переданными всем, у кого есть root на сервере приложений. Поскольку вы говорите, что доступ к БД должен быть ограничен, вы не можете предоставить полный набор полномочий на сервере приложений.

Но не теряйте надежду, есть sudo.

sudo может предоставить пользователям или группам доступ к питанию от сети, но только в ограниченных целях. К сожалению, правильная настройка sudo может быть сложной задачей, чтобы предотвратить подсемейство и подстановочные знаки от полного корня, но это возможно.

Слишком много перестановок для общего ответа за пределами sudo без дополнительной информации о вашем прецеденте. Отличная ссылка для sudo с учетом именно этого прецедента - «Судо Мастерство» Майкла У. Лукаса.